Em 16 de novembro de 2016 14:24, Glenio Cortes Himmen <glenio.11622x@aparecida.go.gov.br> escreveu:
Amigos da lista,

Abaixo tenho uma regra que libera determinados IP's da minha rede para passarem direto para um determinado site em determinadas portas que roda uma aplicação.

Sei que tem como converter essa regra de maneira que o meu firewall possa acessar o site time.windows.com na porta de NTP para atualizar a hora, só que eu não sei como fazer.


Se for para o próprio firewall fazer o acesso, então isso é tratado nas cadeias INPUT e OUTPUT, por exemplo:

Obtendo o IP do destino
]$ dig +short time.windows.com
time.microsoft.akadns.net.
13.89.46.24

iptables -A INPUT -s 13.89.46.24 -p udp --dport 123 -j ACCEPT
iptables -A OUTPUT -d 13.89.46.24 -p udp --dport 123 -j ACCEPT

Para o Brasil eu prefiro usar IPs de servidores ntp no Brasil mesmo, ao invés do time.windows.com.
No caso eu utilizo no meu /etc/ntp.conf
server 200.144.121.33
server 200.192.112.8
server 200.135.0.3

E adaptando as regras de iptables para esses IPs.

 
Gostaria também de criar essa regra permitindo que todos da minha rede acessem o firewall na porta NTP para se atualizarem.

Para permitir a sua rede interna consultar o ntp do próprio firewall, você pode fazer a regra casando com a interface de rede da rede interna e/ou o endereço da rede interna e a porta, por exemplo:
iptables -A INPUT -i ethX -p udp --dport 123 -j ACCEPT
iptables -A OUTPUT -i ethX -p udp --sport 123 -j ACCEPT

ou
iptables -A INPUT -s 192.168.0.0/24 -p udp --dport 123 -j ACCEPT
iptables -A OUTPUT -d 192.168.0.0/24 -p udp --sport 123 -j ACCEPT

adaptando ethX e 192.168.0.0/24 para o seu ambiente

 

Sei que poderia também criar a regra para que todas passem direto nesta porta, mas é melhor não, para não sobrecarregar a NET aqui.

Rede interna passando pelo firewall e saindo para a internet então você trata na FORWARD. Exemplo:

iptables -A FORWARD -s 192.168.0.0/24 -d 13.89.46.24 -p udp --dport 123 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -s 13.89.46.24 -p udp --sport 123 -j ACCEPT

Essas regras podem variar dependendo da política default e da ordem das regras, regras já existentes antes, etc..





 

Vocês podem me ajudar?

A regra é $IPT -t filter -A FORWARD -s $i -d 177.135.250.61 -p udp -m multiport --dport 3050,3051,5836,5837,725 -j ACCEPT

Glênio Côrtes Himmen
Super. Municipal de Trânsito de Aparecida
glenio.11622x@aparecida.go.gov.br